Senthil from Chennai has tweeted the following about Bhim app and I, Samir Kelekar, a software professional tested it.
 
Last week, Kelekar had written exclusively for Sabrangindia saying, how in a hurry to present one more sop before the coming crucial 2017 elections in five states, the Bhim APP has been released without even the basic functionality testing
 
 
St_Hill on Twitter

 
This is highly interesting.
 
When one uses the Request Money feature in Bhim, and inputs a mobile number, in the next screen Bhim reveals the name of the person from whom money is requested provided of course
he/she is also a Bhim user. There is no need to send any money to the person. This has huge implications.
 
By writing a bot ( automated program)  that continuously loops through one number at a time sequentially, one could actually  make a reverse directory listing of all Bhim users ( currently more than 3 million users).
 
The reverse listing can then be reversed to make a regular listing. The reverse listing is exactly what TrueCaller provides as a service. True Caller however has some protection to protect itself from bots. True caller also used to allow one to remove one's  name from its list. This was as of a few years back.
 
So, if you are a Bhim user, and are concerned about your number being leaked out, sorry hard luck. Obviously getting a bot working is not a trivial job, but for professional hackers this is all in a day's work.
 
I tried to confirm what Senthil wrote, and input my friend Dinesh Bareja's number in Bhim app, and this is what I got. (The number is redacted for privacy purposes).

 
So, what then is the real story with Bhim?
 
For one, if you are concerned about your number getting leaked, you should uninstall Bhim till this issue is fixed.
 
Incidently,Paytm also has a similar functionality of sending money  based on mobile numbers.
 
While I havent tested Paytm, I believe ( prima facie) the name of the person is revealed only after the money is sent.
 
The question also arises whether all the payment functionalities in the Bhim App are in order.
 
While one cannot definitively say anything at this point, the sloppy testing that has gone behind Bhim revealing the two bugs (see my earlier article  Cashless disaster: Bhim App Released Without Basic Security Measures in Place) should be a huge sign of caution to all security conscious users.
 
 (The author is a security professional based in Bangalore)
 
 

The post Many Security Holes: BHIM APP appeared first on SabrangIndia.

एक इंटरनेट सिक्यूरिटी प्रोफेशनल होने के नाते जब भी कोई नया ऐप या कोई गैजेट लांच होता है तो मैं इसकी सिक्यूरिटी की खामियों को जांचने की उत्सुकता रोक नहीं पाता हूं। लिहाजा यह स्वाभाविक था कि कैशलेस ट्रांजेक्शन के लिए मोदी सरकार की ओर से हाल में लांच हुए भीम को भी मैंने इसी मकसद से डाउनलोड कर लिया।

लेकिन इसे काम शुरू करने में दो दिन लग गए। पहले तो यह कनेक्ट ही नहीं हो रहा था। फिर एमपिन जेनरेट करते वक्त इसमें एरर आने लगे। आखिरकार किसी तरह  यह चालू हुआ। चूंकि मेरे पास एक ही मोबाइल नंबर है और मेरे सभी अकाउंट नंबर इसी एक नंबर से जुड़ा है लिहाजा मैंने अपने ही नंबर से अपने अकाउंट में पैसा भेजना चाहा। ऐसे में इसे काम नहीं करना चाहिए था। लेकिन उस वक्त मैं भौचक्का रह गया जब उसने दो अलग-अलग एंट्री दर्ज कराई। 10 रुपये डेबिट में 10 रुपये क्रेडिट में। एक ही अकाउंट से डेबिट और उसी से क्रेडिट भी दिखाया गया था। हद हो गई!

मेरा हैकर दिमाग अब तुरंत दूसरे स्टेप के बारे में सोचने लगा।

अगर मैं एक ऑटोमेटेड स्क्रिप्ट लिखूं (एक तरह का कंप्यूटर प्रोग्राम) जो एक रुपया या संभव हो तो इससे भी कम रकम काट कर जिस अकाउंट से काटे उसी में जमा करना शुरू कर दे तो?

अगर कोई इस तरह के कुछ सौ बोट्स (कंप्यूटर प्रोग्रामिंग से जुड़ा एक शब्द) चलाना शुरू कर दे तो वह भीम के सर्वर को हर समय व्यस्त रख सकता और अंततः ठप भी कर सकता है। किसी दूसरे के लिए इसे इस्तेमाल करना नामुमकिन हो जाएगा। कंप्यूटर या इंटरनेट सिक्योरिटी की भाषा में इसे डीडीओएस अटैक कहा जाता है। दरअसल किसी भी अकाउंट से उसी अकाउंट में पैसा भेजना किसी ऐप से संभव नहीं होना चाहिए। ऐप की सिक्यूरिटी के लिए यह बेहद बेसिक क्वालिटी होनी चाहिए। एप बगैर इस बेसिक फंक्शन के जांच के जारी कर दिया गया।

यह बेसिक फंक्शन भी नहीं है। सिक्यूरिटी टेस्टिंग की तो बात छोड़ ही दीजिये। एक ऐप को इसके बेसिक फंक्शन को भी जांचे बगैर भी कैसे जारी किया जा सकता है। हर दिन हम हजारों ऐप लांच कर रहे हैं ( हर दिन कई ऐप) और कैशलेस इकोनॉमी की ओर बढ़े जा रहे हैं।

आखिर हम इस बेवजह की दौड़ के पहले थोड़ा रुक कर इसके बेसिक सिक्योरिटी को क्यों नही जांच सकते ताकि हमेशा यह ठीक से काम करता रहे।

(लेखक इंटरनेट सिक्यूरिटी फ्रोफेशनल हैं और बेंगलुरू में रहते हैं)

The post एक और कैशलेस हादसा – बगैर सिक्योरिटी इंतजाम ही भीम ऐप रिलीज appeared first on SabrangIndia.

 
As a security professional, it is always a curiosity to test for security holes when something new and important has been released. 
 
With the big hype around cashless transactions, and the release of apps such as Bhim with a lot of media attention, it was natural that I downloaded Bhim to play around with it.
 
It took two days to get it working. First, it wouldn’t connect and then it would give error generating an MPIN. But finally it worked. And since I have only one mobile number and all my accounts are linked to just one number, I tried to send money from my mobile number to itself.
 
This shouldn’t work, but imagine my surprise when I saw two different entries — a debit of Rs. 10/- and a credit of Rs. 10/- from and to the same account! This was incredible.
 
My hacker mind immediately thought of the next step.
 
What if I write an automated  script ( a computer program ) that keeps deducting Rs. 1/- or even smaller amounts if possible and crediting to the same account?
 
If one runs a few hundred such bots, one could keep the Bhim servers busy and in fact down (!) or make it useless for others to use! In security terminology, this is called a dDOS attack.
 
The fact that money can’t be sent to the same account from itself should be part of basic functionality of any app.
 
This is not even security testing. How come an App has been released without even doing such basic functionality testing?
 
And here we are launching a thousand Apps (a few every day!) and going into a cashless economy.
 
Let us not get carried away unnecessarily; we need a halt to all this and ensure that we put together some basic secure, functionality systems to ensure seasoned functioning. And some sanity here.
 
(The author is a security professional based out of Bangalore)
 

The post Cashless disaster: Bhim App Released Without Basic Security Measures in Place appeared first on SabrangIndia.